Porte dérobée ExtraPulsar basée sur le code de la NSA divulgué – ce que vous devez savoir – Naked Security
Un chercheur en sécurité américain a émergé d'une porte dérobée Windows open source qui a été résolue en se basant sur le code d'attaque de la NSA qui avait filtré en 2017 dans le cadre de l'utilisation infâme de Shadow Brokers.
Le scientifique qui passe @ zerosum0x0
en ligne et Sean Dillon dans la vie réelle, a appelé son nouveau malware ExtraPulsar, un clin d'œil aux outils de la NSA appelés DOUBLEPULSAR.
Le code lui-même est facile passionnant.
Au lieu d'exploiter une vulnérabilité qui ne devrait pas exister, il utilise une partie subconsciente du serveur de fichiers de Microsoft. SRVNET.SYS
.
La plupart des serveurs Windows et de nombreux ordinateurs portables Windows acceptent les connexions de partage de fichiers – si vous exécutez la commande part nette
Et vous voyez C $
et ADMIN $
dans la liste faites le vôtre.
Si le partage de fichiers est actif, vous verrez le pilote du noyau Windows.SRVNET.SYS
chargé – nom complet Pilote réseau serveur.
L'idée est que Serveur de réseau serveur – on l'appelle même sur les versions non serveur de Windows – recherche les ports de réseau ouverts et le trafic réseau faisant partie du partage de fichiers Windows.
Ce pilote de gestion du trafic supprime ensuite les paquets entrants vers un ou plusieurs pilotes supplémentaires afin de gérer les demandes distantes.
Par exemple Pilote réseau serveur sera généralement accompagné d’un pilote appelé "unité extension" appelé SRV2.SYS
, il Smb 2.0 Server Driver.
Les PME sont trop courtes Bloc de messages du serveur, Le surnom de Microsoft pour son protocole de partage de fichiers.
Si vous avez activé le standard SMB 1 obsolète, peu sûr et actuel – quelque chose que même Microsoft vous encourage à ne pas faire – vous voulez voir Srv.sys
Aussi, classé comme vieux ordinaire serveur pilote.
Ce que le chercheur a découvert, c'est comment convaincre Pilote réseau serveur pour charger un module de noyau supplémentaire construit à partir de son code de porte dérobée, qu'il désigne dans l'arborescence source avec un graphique décrit comme "scoplez un graphique":
L'idée de créer un malware qui fonctionne est la suivante:
- Le code malveillant est enregistré pour gérer les paquets réseau déjà reçus par le pilote de serveur de niveau supérieur. Par conséquent, les logiciels malveillants ne doivent pas ouvrir les ports du réseau d’écoute ni faire des appels réseau suspects.
- Le code malicieux fonctionne comme un pilote principal, et le code qu’il reçoit et lance commence également à acheter des termes essentiels. Donc, ce malware et tout code de porte dérobée qu’il active s’exécutent à un niveau équivalent à un niveau de super-administration.
- Le code malveillant est automatiquement réveillé et activé lorsque des paquets du réseau SMB arrivent. Ainsi, il peut facilement identifier ses propres instructions de commande et de contrôle, les supprimer du flux de réseau et agir en conséquence.
L'outil de suppression de code de code de code à distance dans le projet Dillon ne contient que 12 lignes de programmation Python qui envoient un seul paquet réseau de code exécutable au port 445 sur un ordinateur infecté.
Les paquets SMB normaux commencent par des octets 0xFF 0x53 0x4D 0x42
, qui apparaît comme ■ PME
quand il apparaît sous forme de texte.
Malware reconnaît ses propres charges utiles de code shell car elles sont étiquetées avec 0x45 0x78 0x50 0x75
qui sort comme EXPU
, raccourci pour ExtraPulsar.
Que faire?
Si vous avez vu des reportages dans les médias suggérant que ce projet peut conduire à un "malware indétectable", ne paniquez pas.
Un bon logiciel de sécurité peut bloquer les pilotes malhonnêtes et leurs effets secondaires de nombreuses manières:
- Les pilotes de base sont même des fichiers de programme Windows, bien qu’ils aient certaines fonctionnalités spéciales. (Ils ont généralement un
.SYS
extension à la placeEXE
ouDLL
.) Ils peuvent donc être détectés, bloqués et supprimés par un logiciel anti-virus. - Les pilotes principaux se chargent dans la mémoire et y restent, mais dans une autre partie du système d'exploitation pour les applications courantes. Ils peuvent donc être détectés et déclenchés par un logiciel anti-virus.
- Il est possible de créer des contenus innocents sur les packages Web ExtraPulsar SMB, par exemple en les chiffrant, mais ils doivent être reconnus comme étant différents par le composant de porte dérobée. Ils peuvent donc être détectés et rejetés par les outils de filtrage réseau.
- Les versions modernes de Windows ne téléchargeront pas les pilotes de disque dur par défaut. Les pilotes principaux doivent être signés numériquement, de sorte que les méchants doivent obtenir des certificats d'escroc pour obtenir un certain pied. Ainsi, les pilotes non autorisés peuvent être identifiés et bloqués par un logiciel de sécurité.
Nous ne sommes pas convaincus que Dillon ait vraiment besoin de publier son malware, qui est une preuve de concept, sous la forme d'un projet GitHub téléchargeable gratuitement …
… mais ExtraPulsar ne peut pas être utilisé directement pour lancer une attaque et ne représente pas une menace "indétectable", quoi que vous ayez entendu.
Soyons donc charitables et disons que Dillon Code est informatif et qu'il est utile d'étudier si la cyber-sécurité vous intéresse.
Commentaires
Laisser un commentaire